Avis 20226194 Séance du 24/11/2022

Monsieur X, X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 11 octobre 2022, à la suite du refus opposé par le maire de Villeurbanne à sa demande de communication, de préférence par voie électronique, dans un format numérique, ouvert et réutilisable, des documents relatifs au partenariat conclu avec la société X, portant sur des logiciels de « police prédictive », notamment : 1) les actes administratifs et les décisions administratives liées à ce partenariat ; 2) les dossiers, rapports, études (dont les études d'impact et les rapports d'évaluation) associés au projet, et en particulier les documents relatifs au service ou module « Predictive Analytics » proposé par X ; 3) les manuels d’utilisation de ces systèmes ; 4) s'agissant du module « prédictif », les documents faisant état de la manière dont la ville a défini son propre modèle de calcul, dans la mesure où X indique permettre à chaque collectivité de définir son propre « modèle de calcul » ; 5) le code source du ou des logiciels utilisés ; 6) les informations générales sur : a) les règles définissant les principaux traitements utilisés ; b) le degré et le mode de contribution du traitement algorithmique à la prise de décision ; c) les données traitées et leurs sources ; d) les paramètres de traitement et leur pondération ; 7) les contrats et les documents attenants aux marchés publics afférents à ce dispositif, notamment : a) le CCTP ; b) le CCAP ; c) le CCTG ; d) le CCAG ; e) leurs annexes ; f) les candidatures ; g) l'offre technique de l'attributaire ; h) les pièces composant l'offre d'X ; 8) les correspondances portant sur ce dispositif avec d'autres organismes, à l'image de la Commission nationale informatique et libertés (CNIL) ou du ministère de l'intérieur. En l’absence de réponse exprimée par le maire de Villeurbanne à la date de sa séance, a commission estime que les documents visés aux points 1) à 4) sont des documents administratifs communicables à toute personne qui en fait la demande, en application des dispositions des articles L311-1 et suivants du code des relations entre le public et l'administration. Elle émet donc un avis favorable à leur communication, sous réserve de l'occultation, le cas échéant, des mentions protégées par les articles L311-5 et L311-6 de ce code, notamment la protection du secret des affaires et, le cas échéant, de celles dont la communication porterait atteinte à la sécurité publique ou à la sécurité des personnes et, s'agissant des documents visés au point 2), sous réserve également qu'ils ne revêtent pas un caractère préparatoire. S'agissant du point 5) de la demande, la commission rappelle que l'article L311-4 du code des relations entre le public et l'administration, qui reprend l'ancien article 9 de la loi du 17 juillet 1978 complété par la loi pour une République numérique, dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, rendu par la commission dans sa séance du 17 mai 2018. La commission estime par ailleurs que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des système d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La commission rappelle enfin, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence, et eu égard à la définition donnée à l’article L151-1 du code de commerce. Aux termes de cet article est protégée par le secret des affaires toute information répondant aux critères suivants : « (…) 1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ; 2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; 3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. » Elle estime ainsi qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022). Elle émet donc, sous ces réserves, un avis favorable à la communication du code source du logiciel visé au point 5). La commission estime ensuite que les documents visés au point 6) sont des documents administratifs communicables à toute personne qui en fait la demande, sous réserve qu'ils existent ou qu'ils puissent être établis par un traitement automatisé d'usage courant et sous réserve des éventuelles mentions protégées au titre des articles L311-5 et L311-6 du code des relations entre le public et l'administration. S'agissant des documents visés au point 7), la commission rappelle qu'une fois signés, les marchés publics et les documents qui s’y rapportent sont des documents administratifs soumis au droit d'accès institué par le livre III du code des relations entre le public et l’administration. Ce droit de communication, dont bénéficient tant les entreprises non retenues que toute autre personne qui en fait la demande, doit toutefois s'exercer dans le respect du secret des affaires, protégé par les dispositions de l’article L311-6 de ce code. Il résulte de la décision du Conseil d’État du 30 mars 2016, « Centre hospitalier de Perpignan » (n° 375529), que, lorsqu’elles sont saisies d’une demande de communication de documents relatifs à un marché public, les autorités mentionnées à l’article L300-2 du même code doivent examiner si les renseignements contenus dans ces documents peuvent, en affectant la concurrence entre les opérateurs économiques, porter atteinte au secret des affaires et faire ainsi obstacle à cette communication. Le Conseil d’État a en outre précisé qu’au regard des règles de la commande publique, doivent être regardées comme communicables, sous réserve des secrets protégés par la loi, l’ensemble des pièces d’un marché public et que, dans cette mesure, l’acte d’engagement, le prix global de l’offre et les prestations proposées par l’entreprise attributaire, notamment, sont en principe communicables. Sont également communicables les pièces constitutives du dossier de consultation des entreprises (règlement de consultation, cahier des clauses administratives particulières, cahier des clauses techniques particulières, etc.). En revanche, les éléments qui reflètent la stratégie commerciale d’une entreprise opérant dans un secteur d’activité concurrentiel et dont la divulgation est susceptible de porter atteinte au secret des affaires ne sont, en principe, pas communicables. Il en va ainsi de l’offre de prix détaillée contenue dans le bordereau des prix unitaires, la décomposition du prix global et forfaitaire ou le détail quantitatif estimatif, ainsi que du mémoire technique, qui ne sont, de fait, pas communicables aux tiers. La commission a précisé dans son conseil n° 20221455 du 21 avril 2022 évoqué ci-dessus, revenant sur sa doctrine antérieure, qu’il en va aussi désormais des factures, bons de commande, états d’acompte, décomptes et autres pièces établies dans le cadre de l’exécution d’un marché public, en tant que ces documents mentionnent les prix unitaires. L’examen de l’offre des entreprises non retenues au regard des mêmes principes conduit de même la commission à considérer que leur offre de prix globale est, en principe, communicable mais qu’en revanche, le détail technique et financier de cette offre ne l’est pas. En outre, pour l’entreprise attributaire comme pour l’entreprise non retenue, les dispositions de l’article L311-6 du code des relations entre le public et l’administration doivent entraîner l’occultation des éléments suivants : - le détail des capacités techniques et professionnelles de l'entreprise (organigramme, références, diplômes, curriculum-vitae, etc.), les mentions relatives aux moyens techniques et humains, à la certification de système qualité, aux certifications tierces parties ainsi qu'aux certificats de qualification concernant la prestation demandée, ainsi que toute mention concernant le chiffre d'affaires, les coordonnées bancaires et les références autres que celles qui correspondent à des marchés publics ; - dans les documents préparatoires à la passation du marché (procès-verbaux, rapports d'analyse des offres), les mentions relatives aux détails techniques et financiers des offres de toutes les entreprises. La commission précise enfin que les notes et classements des entreprises non retenues ne sont communicables qu'à celles-ci, chacune en ce qui la concerne, en application de l’article L311-6 du code des relations entre le public et l’administration. En revanche, les notes, classements et éventuelles appréciations de l'entreprise lauréate du marché sont librement communicables. La commission relève en outre que les cahiers des clauses administratives générales (CCAG) et les cahiers de clauses techniques générales (CCTG) sont publiés au Journal officiel de la République française et disponibles sur le site « Legifrance » (www.legifrance.gouv.fr). En application de ces principes, la commission ne peut que déclarer irrecevable le point 7) de la demande, en ce qu’il porte sur les CCAG, CCTG et leurs annexes, dès lors qu’ils ont fait l'objet d'une diffusion publique au sens du quatrième alinéa de l’article L311-2 du code des relations entre le public et l’administration. Elle émet par ailleurs un avis défavorable à la demande portant sur la communication de l’offre technique du titulaire et des dossiers de candidature des candidats non retenus. Elle émet en revanche, un avis favorable à la communication des autres documents sollicités au point 7), sans occultation s’agissant du CCTP, du CCAP et de leurs annexes, et sous réserve, s’agissant du dossier de candidature de l’attributaire et de son offre globale, de l’occultation des mentions protégée par le secret des affaires, ainsi que, le cas échéant, par le secret de la vie privée (extrait K-Bis notamment). En dernier lieu, la commission rappelle qu'il résulte des dispositions du chapitre IV de la loi du 6 janvier 1978 que les documents soumis à la CNIL par les responsables de traitements, dans le cadre des procédures de déclaration ou d'autorisation prévues par cette loi dans sa rédaction en vigueur à la date des traitements concernés, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration (avis n° 20103832, du 14 octobre 2010, de partie II). L'article L342-2 de ce code n'ayant pas étendu ses compétences à ce régime, la commission se déclare, en l’espèce, incompétente pour se prononcer, dans cette mesure, sur le point 8) de la demande. Elle relève que la formulation de la demande ne lui permet pas d’identifier les documents dont la communication ne serait pas régie exclusivement par la loi du 6 janvier 1978 et qui seraient, par suite, soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration. Elle émet donc, sous cette réserve et sous réserve que ces documents ne revêtent pas un caractère préparatoire, un avis favorable, dans cette mesure, sur ce dernier point.